« Le Monde du SIM » (Security Information Management)
Gestion des incidents opérationnels de sécurité
Ce document ne peut être copié ou reproduit sans l’accord écrit de DEVOTEAM S.A C O N N E C T I N G B U S I N E S S & T E C H N O L O G Y Livre Blanc Sécurité Page 2 / 88
Avant-propos
Adressé aux principaux acteurs de la sécurité des SI dans l’entreprise et notamment aux RSSI, ce livre blanc dresse un état de l’art complet et synthétique sur les normes et standards en matière de détection et de traitement des incidents. Les modèles d’organisation, notamment CSIRT (Computer Security Incident Response Team), ainsi que les principes et procédures de réactions sont également décrits au regard de nombreux retours d’expérience.
Les auteurs
David BIZEUL, est consultant en sécurité des systèmes d’informations au sein du Groupe Devoteam. Titulaire du CISSP, il contribue à promouvoir le développement de la sécurité en France. Ses compétences et ses diverses missions l’ont amené à se pencher sur des problématiques de gestion opérationnelle de la sécurité.
Yann FAREAU, diplômé de l'ISEP, est responsable d’activités sécurité au sein du Groupe Devoteam. Il intervient depuis de nombreuses années auprès de Grand Comptes dans la définition et le développement des architectures de sécurité. Depuis 2002, il est en charge de la ...
Ce document ne peut être copié ou reproduit sans laccord écrit de DEVOTEAM S.A
O
G
L
N
N
C
E
I
T
G
N
B
U
S
I
N
E
S
S
&
T
E
C
H
N
O
Y
« Le Monde du SIM » (Security Information Management)
Livre BlancSécurité
érationnelsdesécurité
C
O
Gestion des incidentsop
Livre Blanc Sécurité
Page 2 / 88
Avant-proposAdressé auxSIdesritéésuclasedetruacxauipncripdans lentreprise et notamment aux RSSI, ce livre blanc dresse un complet et synthétique sur les normes et standards enétat de l art matière de détection et de traitement des incidents. Les modèles dorganisation, notamment CSIRT (Computer Security Incident Response Team), ainsi que les principes et procédures de réactions sont également décrits au regard de nombreux retours dexpérience. Les auteurs David BIZEUL, consultant en sécurité des systèmes dinformations au sein du Groupe est Devoteam. Titulaire du CISSP, il contribue à promouvoir le développement de la sécurité en France. Ses compétences et ses diverses missions lont amené à se pencher sur des problématiques de gestion opérationnelle de la sécurité. Yann FAREAU, diplômé de l'ISEP, est responsable dactivités sécurité au sein du Groupe Devoteam. Il intervient depuis de nombreuses années auprès de Grand Comptes dans la définition et le développement des architectures de sécurité. Depuis 2002, il est en charge de la promotion et du développement, en plus de ses missions de conseils, des offres d'audits techniques & test d'intrusion et de management opérationnel de la sécurité. Animateur de conférences sur la SSI (Eurosec 2004 et 2005) sur la supervision de la sécurité, il est aussi sollicité pour clarifier différents thèmes de la SSI dans des journaux comme « 01 Réseau », « Le Monde Informatique », et « Mag-Securs ». Sont remerciés pour avoir participé activement à ce Livre Blanc : •Jean- Marc BOURSAT ( Apogée Communications) •Olivier GOURNAY ( Apogée Communications) •Olivier BADET (CEGETEL SI)
Toute reproduction est interdite sans accord écrit de DEVOTEAM S.A
Livre Blanc Sécurité
SOMMAIRE
Page 3 / 88
1INTRODUCTION........................................................................................................................ 51.1................................exnt..teCo..5.....................................................................................1.2................................7................................................................Ojb..........................fstiec1.3 ...............................8Présentation de la gestion des incidents opérationnels de sécurité1.4Quels gains ?................................................................................................................ 122COMPLEXITE TECHNIQUE DE LAGESTION DESINFORMATIONS DESECURITE AU SEIN DUSI ......142.1Multiplicité des composants participant à la chaîne de sécurité ...................................142.2 ............................................................................16Volumétrie des informations à traiter2.3 17Formats de logs variés .................................................................................................3ARCHITECTURE FONCTIONNELLE ET TECHNIQUE DES OUTILS DEGESTION DESINFORMATIONS DESECURITE................................................................................................02................................3.1Architecture fonctionnelle des outils de Gestion des Informations de Sécurité ............203.2 CIDF ........................................................................21 techniqueModèle darchitecture3.3 absorber une forte volumétrie ..................................23 pourEvolution du modèle CIDF3.4Exemple dune architecture technique GIS opérationnelle...........................................284LE TRAITEMENT DE LINFORMATION DE SECURITE...................................................................9.24.1Collecte des événements ............................................................................................. 304.2De la Normalisation à la Priorisation ............................................................................314.3éductiondalertR..............................e...................................................................35........4.4................37................................................................................................itno....Croéral5REPRESENTATION DES EVENEMENTS DE SECURITE8..........................4.......................................5.1Respect des principes de sécurité................................................................................485.2Normalisation du format déchange ..............................................................................495.3......................49................................................................................................LSIC........5.4IDM..........FE................................................15................................................................5.5..................................5.4................................................................IEFOD........................5.6................DIPX.............................................56................................................................5.7 58Types déchanges ........................................................................................................6PRESENTATION DES INFORMATIONS/ INTERFACE UTILISATEUR............................26....................6.1 62Formatage des données...............................................................................................6.2Présentation définie par rôle......................................................................................... 656.3Modèles de représentation ........................................................................................... 676.4au workflow du traitement des incidents.....................................................68Intégration 7INTEGRATION DANS LENTREPRISE......................................................................................... 697.1Accompagnement projet............................................................................................... 697.2Formation ..................................................................................................................... 707.3 ..................................................................................70Présentation des différents rôles7.4Charte dentreprise et données visualisées..................................................................717.5Disponibilité du service de gestion des incidents de sécurité.......................................717.6 72Procédures de réaction ................................................................................................8LE SUIVI DE LINCIDENT/WORKFLOW....................................................................................... 739REPORTING........................................................................................................................... 7710CONCLUSION......................................................................................................................... 8111LEXIQUE................................................................................................8.2...............................12BIBLIOGRAPHIE...................................................................................................................... 8513NOTES ET COMMENTAIRES..................................................................................................... 86
Toute reproduction est interdite sans accord écrit de DEVOTEAM S.A
Livre Blanc Sécurité
Toute reproduction est interdite sans accord écrit de DEVOTEAM S.A
Autres Unix Libres Editeurs Constructeurs Organisme
Apogée Communications - 2005
Une telle augmentation peut trouver deux raisons principales : •Laugmentation des équipements disponibles dans un système dinformation, pour accompagner le développement des Webs services, consommateurs de ressources et déquipements de sécurité, • de failles indépendants »;Lexplosion du marché des « chercheurs ces derniers sont dorénavant payés par des entreprises pour toute faille découverte et non diffusée « hors contrôle ». Des programmes sont en cours pour amplifier cette dynamique1 . Dans un contexte nécessitant une vigilance accrue, le flot dinformations et les moyens de contrôles disponibles pour identifier les comportements illicites ont augmentés. Pourtant, le constat des entreprises est un manque de visibilité sur les incidents de sécurité qui se produisent au sein ou en périphérie du système dinformation. 1 programme de 3Com et TippingPoint pour le recensement de nouvelles failles de Un sécurité a vu le jour : ZDI (hlmnied.xthe.ivm/coniyiattiez.wador:pttww//)
Toute reproduction est interdite sans accord écrit de DEVOTEAM S.A
Fort Investissement dans les solutions de sécurité :
des fluxConfidentialit é Contrôle de flux Antivirus Authentification
Apogée Communications - 2005
Livre Blanc Sécurité
Complexification du système d information
Rupture de session Filtrage de flux, Contrôle antiviral Détection dintrusion réseau
Les risques techniques de Sécurité continuent de croître :
vitesse de propagation des menaces au caractère hybride intrusion sur les couches métiers .
Page 6 / 88
Diminution de La visibilité su les attaques de sécurité
Protégé » mais « « aveugle face aux attaques techniques»
Par ailleurs, suite à différents scandales et crises financières, la « transparence », en particulier sur les mesures de sécurité mises en uvre, devient souhaitable, voire nécessaire. Pour maintenir une surveillance des informations de sécurité adaptée aux enjeux dans un environnement en constante évolution, il est nécessaire den améliorer le traitement. Cette amélioration pourrait se résumer au renforcement des équipes de surveillance. Malheureusement, pour maintenir stable le ratio Nombre dévènements à traiter / Nombre de ressources, une augmentation très importante des ressources serait nécessaire et inadaptée dans le contexte actuel, plus orienté vers la rationalisation des investissements informatiques. La seulus d des incidents estion e approche possible est unegeorpssecioatdunristisalniud desécuritéetunrenforcementdeloutillage,enparticulierceluienchargedestraitementsd informations de sécurité. Pourtant lutilisation des solutions de gestion dinformations de sécurité (G.I.S) ou plus communément nommées S.I.M (Security Information management) nest pas encore généralisée dans les entreprises. Peu dentreprises, en particulier françaises ont réalisé des investissements sur les chantiers de gestion des incidents opérationnels de sécurité.
Toute reproduction est interdite sans accord écrit de DEVOTEAM S.A
Livre Blanc Sécurité
Page 7 / 88
Plusieurs raisons majeures sont évoquées en 2005 par les entreprises ou administrations rencontrées pour limiter ces investissements : •Prix des solutions SIM •Axe dinvestissement orienté vers une autre priorité •Retour sur investissement difficilement quantifiable •Supervision dinfrastructure inexistante •Manque de visibilité sur la mise en conformité réglementaire en sécurité •Etc
1.2Objectifs
Ce livre blanc fournit des clefs pour aborderefficacement la gestion des incidents opérationnels de sécurité, à : savoir •Les gains d'une gestion des incidents opérationnels de sécurité, •
• • •
Un état de l'art sur les normes et les standards pour la détection et le traitement des incidents de sécurité, Les concepts des outils de gestion des informations de sécurité Des modèles d'organisation (type CSIRT2), Des principes et procédures de réaction pour la gestion des incidents de sécurité
2CSIRT : Computer Security Incident Response Team
Toute reproduction est interdite sans accord écrit de DEVOTEAM S.A
1.3 Présentation de la sécurité
Livre Blanc Sécurité
estion des incidents o
Page 8 / 88
érationnelsde
La Gestion Opérationnelle de la Sécurité correspond à lensemble des activités qui participent au contrôle ou à la diminution du risque portant sur la sécurité du système dinformation.
GESTION OPERATIONNELLE DE LA SECURITE (GOS )
Servicesqualtitatifs
SECURITE PAR LA FORMALISATION ET LA SENSIBILISATION
Services proactifs
SECURITE PAR LA PREVENTION
Services reactifs
SECURITE PAR LA RÉACTION
Apogée Communications - 2005 La décomposition présentée ci-dessus est celle communément admise pour présenter les services sécurité pris en charge par un CSIRT (Computer Security Information Response Team). La Gestion des Incidents Opérationnels de Sécurité (GIOS) est une sous partie de la Gestion Opérationnelle de la Sécurité (GOS). Lappellation GIOS intègre lensemble des process, outils, acteurs qui permet de détecter et gérer un incident opérationnel de sécurité.
Toute reproduction est interdite sans accord écrit de DEVOTEAM S.A
Livre Blanc Sécurité
Page 9 / 88
Le schéma ci-dessous met en relief lesopérations propres à la gestion des incidents opérationnels de sécurité au sein de la Gestion opérationnelle de la sécurité.
Services qualtitatifs
GESTION OPERATIONNELLE DE LA SECURITE (GOS )
FORMATION ET SENSIBILISATION SECURITE
PLAN DE CONTINUITÉ DACTIVITE
ANALYSE DE RISQUE
POLITIQUE OPÉRATIONNELLE DE SECURITE
Services proactifs
OUTILLAGE SECURITE
ADMINISTRATION SECURITE
AUDIT ET TEST DINTRUSION
Veille technologique
Veille norme et méthode
Services reactifs
GESTION DES INCIDENTS OPERATIONNELS DE SECURITE (GIOS)
Traitement et suivi des incidents
Surveillance des événements de sécurité
Caractérisation des alertes
GESTION DES INFORMATIONS DE SECURITE(GIS)
Apogée Communications - 2005 Seul le volet GIOS (gestion des incidents opérationnels de sécurité) sera étudié par la suite dans le cadre du Livre Blanc. Comme évoqué ci-dessus, la GIOS se décompose en six parties distinctes :
1. Surveillance des évènements de sécurité Il est indispensable quune surveillance des évènements de sécurité soit mise en uvre pour réaliser une GIOS. Cette activité consiste à recueillir et à analyser les informations relatives à la sécurité. Pour se faire, plusieurs pré-réquis sont nécessaires : •Une Organisation de surveillance adaptée aux enjeux, •Une surveillance conforme aux obligations légales et réglementaires, •Une surveillance des « bons » points de contrôle.
2. Administration sécurité La surveillance détecte un problème, alors que ladministration de la sécurité a pour objectif dagir suite à la détection dun incident, et de lanticiper. Par ailleurs, une administration rigoureuse et efficace devrait permettre de limiter limpact de certains incidents. De plus, ladministration sécurité intègre aussi les opérations de configuration de composants ainsi que le maintien de ces derniers en condition opérationnelle.
Toute reproduction est interdite sans accord écrit de DEVOTEAM S.A
Livre Blanc Sécurité
Page 10 / 88
3. Audit et tests d intrusion La surveillance est un action réactive à laquelle il convient dassocier des actions réactives dont les audits et tests dintrusion. Lobjectif de ces actions daudits est didentifier la présence des vulnérabilités, avant quelles ne soient exploitées à des fins malveillantes, et définir le plan daction associé. 4. Outillage sécurité
Loutillage sécurité est un ensemble de composant qui a pour objet dautomatiser ou simplifier tout ou partie des actions de sécurité. Loutillage sécurité est de deux natures : •Outillage pour automatiser un traitement technique. oExemple : pare-feu, anti-virus •Outillage pour simplifier les opérations dexploitation
oExemple : Outil de SIM, Outil de gestion centralisée des droits 5. Caractérisation des alertes Il doit être proposé en sappuyant sur le système dinformation les informations qui permettront didentifier et de remonter les alertes de sécurité. La caractérisation dune alerte de sécurité, tant par des méthodes de détection par signatures (« pattern matching ») que par analyse comportementale peut sappuyer sur plusieurs critères : •Identification dun incident de sécurité lié à un attaquant unique •Identification dun incident de sécurité par consolidation dalertes issues de plusieurs sources •Identification dun risque de sécurité dont peut résulter un incident de sécurité. Les outils « nommés » de Gestion des Informations de Sécurité ou SIM (Security Information Management) ont pour vocation de faciliter cette caractérisation de lalerte de sécurité par des techniques de « consolidation », de « corrélation » et denrichissement dévénements de sécurité en provenance de sources diverses sur le système dinformation. Par ailleurs, la veille sécurité est une étape indispensable dans le processus de gestion des informations de sécurité. En effet, il est impossible de surveiller et de détecter « ce qui nest pas connu et/ou envisagé ». Cest la raison pour laquelle, il est important quune évaluation du risque technique de sécurité soit réalisée en phase projet . Cette dernière peut provenir de différentes sources : •surveillance qui enrichissent les méthodes de détection et laDes outils de caractérisation des alertes3de sécurité. •Des équipes au sein de lentreprise qui enrichissent la caractérisation des risques techniques par leurs connaissances du système dinformation veillesDes « » sécurité sur Internet ou fournies par des sociétés disponibles • spécialisées dans ce domaine.